Am 31. Juli 2025 hat OpenAI mit Stargate Norwegen den Bau des ersten KI-Rechenzentrums von OpenAI in Europa angekündigt. Das Rechenzentrum soll in Narvik, im Norden Norwegens, im Jahr 2026 in Betrieb genommen werden. Nach Angaben von OpenAI bieten die reichhaltigen Wasserkraftressourcen Narviks, die kostengünstige Energieversorgung, das kühle Klima und die etablierte industrielle Infrastruktur optimale Voraussetzungen, um die Stadt als Standort für nachhaltige KI-Kapazitäten im industriellen Maßstab zu etablieren.
Was bedeutet das für europäische Kunden von OpenAI? Zunächst, dass OpenAI derzeit kein KI-Rechenzentrum in Europa betreibt. Daher sollte die Auswahl des passenden KI-Systems für das eigene Unternehmen sorgfältig erfolgen, um sowohl den betrieblichen Bedarf zu decken als auch die datenschutzrechtlichen Anforderungen zu erfüllen.
Ein schneller Weg zu Datenschutzverletzungen
Unüberlegte Entscheidungen zugunsten vermeintlich einfacher Lösungen können aus datenschutzrechtlicher Perspektive nachteilige Konsequenzen haben. OpenAI bewirbt beispielsweise „ChatGPT Team“ als schnellsten Weg, ChatGPT für das Unternehmen zu nutzen, mit einem gemeinsamen Arbeitsbereich, Administrationsmöglichkeiten und Schnittstellen zu den Unternehmensanwendungen.
“ChatGPT Team is the fastest way to start using ChatGPT for work—with a shared workspace, admin controls, and connectors to your company tools.”
Da „ChatGPT Team“ günstiger als „ChatGPT Enterprise“ ist, könnten insbesondere kleine Unternehmen dazu verleitet werden, sofort zuzugreifen. Aus datenschutzrechtlicher Sicht bestehen hierbei jedoch hohe Risiken, die zur Verletzung der Rechte und Freiheiten von betroffenen Personen führen können.
Verantwortlichkeit und Auftragsverarbeitung
Unabhängig davon, ob ein Unternehmen „ChatGPT Team“ oder „ChatGPT Enterprise“ verwendet, bleibt es im Sinne der DSGVO Verantwortlicher, da es allein über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Wenn ein Unternehmen personenbezogene Daten in solchen KI-Systemen verarbeitet, muss es sicherstellen, dass zuvor ein Auftragsverarbeitungsvertrag nach Art 28 DSGVO mit OpenAI abgeschlossen wurde. Hierfür bietet OpenAI standardmäßig den „Zusatz zur Datenverarbeitung“ (engl. Data processing addendum) an. Wenn sich das Unternehmen im Europäischen Wirtschaftsraum (EWR) oder in der Schweiz befindet, erbringt OpenAI Ireland Ltd die Dienste und schließt den Vertrag mit dem Unternehmen ab. Es sollte jedoch nicht davon ausgegangen werden, dass die Eingaben (User-Prompts) auch in Irland verarbeitet werden.
Unterauftragsverarbeiter und verbundene Unternehmen
OpenAI Ireland Ltd ist eine Tochtergesellschaft von OpenAI, LLC mit Sitz in den Vereinigten Staaten. Die verbundenen Unternehmen von OpenAI stellen technische und operative Unterstützung für die von OpenAI Ireland Ltd angebotenen Dienste bereit. Da derzeit kein KI-Rechenzentrum von OpenAI im EWR oder in der Schweiz existiert, erfolgt die Datenverarbeitung zwangsläufig in den entsprechenden Rechenzentren in den USA.
Gleiches Schutzniveau bei internationalen Datenübermittlungen
Die Datenübermittlung personenbezogener Daten in ein Drittland, wie der USA, unterliegen besonderer datenschutzrechtlicher Voraussetzungen. Entweder besteht ein gültiger Angemessenheitsbeschluss der Europäischen Kommission, mit dem festgestellt wurde, dass in dem jeweiligen Land ein der Europäische Union angemessenes Schutzniveau besteht, oder der Datenexporteur, wie OpenAI Ireland Ltd, stellt mit geeigneten Garantien im Sinne der DSGVO sicher, dass dieses Schutzniveau im Einzelfall erreicht wird.
Aufgrund des EU-US Data Privacy Framework (DPF) aus dem Jahr 2023 besteht ein Angemessenheitsbeschluss für die USA. Ungeachtet der Kritik an dem DPF an sich und der Möglichkeit der Aufhebung des DPF – sowohl durch den aktuellen US-Präsidenten als auch durch den EuGH (Schrems III) – besteht derzeit rechtlich die Möglichkeit, personenbezogene Daten an Unternehmen in den USA auf Grundlage des DPF zu übermitteln, wenn sich diese auf der Website des US-Handelsministerium registrierten und somit selbstzertifizierten.
Da sich bisher keine der Gesellschaften von OpenAI registrierte, ist der Angemessenheitsbeschluss jedenfalls keine taugliche Rechtsgrundlage für die Datenübermittlung von OpenAI Ireland Ltd in die USA. Daher kommen im Fall von OpenAI derzeit nur „geeignete Garantien“ nach Art 46 DSGVO, wie Standardvertragsklauseln, in Frage.
Es ist allerdings nicht öffentlich ersichtlich, inwiefern OpenAI Ireland Ltd. mit seinem Mutterunternehmen OpenAI, LLC. solche „geeigneten Garantien“ vereinbarte. OpenAI Ireland Ltd. beruft sich auf konzerninterne Vereinbarungen, zu denen – nur möglicherweise – auch die Standardvertragsklauseln der EU-Kommission vom 4. Juni 2021 gehören könnten.
Kunden von OpenAI, LLC können allerdings ihr Recht aus dem Auftragsverarbeitungsvertrag wahrnehmen und sich die Datenschutz- und Sicherheitsrichtlinien von OpenAI, LLC. sowie weitere relevante Informationen bereitstellen lassen, um die Einhaltung der DSGVO zu überprüfen.
Bezirksgericht in den USA untergräbt geeignete Garantien
Der EuGH stellt in seiner Entscheidung zur RS C-311/18 Schrems II klar, dass Verantwortliche oder Auftragsverarbeiter, die im Rahmen der Verarbeitung als Exporteure agieren, dafür verantwortlich sind, im Einzelfall und gegebenenfalls in Zusammenarbeit mit dem Datenimporteur im Drittland zu prüfen, ob das Recht und die Praxis des jeweiligen Bestimmungsdrittlands die Wirksamkeit der „geeigneten Garantien“ gewährleistet.
In Hinblick des Beschlusses eines New Yorker Bezirksgerichts vom 13. Mai 2025 in der Rechtssache „The New York Times Company v. Microsoft Corporation et al.“ (Case No. 1:23-cv-11195, U.S. District Court, SDNY), der am 26. Juni 2025 vom Berufungsgericht bestätigt wurde, dürfte die Wirksamkeit der „geeigneten Garantien“ untergraben sein. Dieser Beschluss verpflichtet die Mutter des gesamten Konzerns – OpenAI Inc. – alle Output-Daten von ChatGPT zur Beweissicherung segregiert zu speichern und nicht zu löschen, selbst wenn EU-Unternehmen dies im Rahmen ihrer DSGVO-Pflichten verlangen würden.
Diese Verpflichtung steht im Widerspruch zum Betroffenenrecht auf Löschung nach der DSGVO und macht es OpenAI Ireland Ltd derzeit unmöglich, „geeignete Garantien“ mit ihren verbundenen Unternehmen in den USA umzusetzen, da betroffene Personen ihre Rechte nicht durchsetzen können. Die Ausnahme vom Recht auf Löschung zur Erfüllung einer rechtlichen Verpflichtung nach Art 17 Abs 3 lit b DSGVO geht ins Leere, da diese nicht dem Unionsrecht oder dem Recht der Mitgliedstaaten entspringt und auch die Ausnahme nach Art 17 Abs 3 lit e DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, kann in diesem Fall nicht greifen, da der Gerichtsbeschluss für OpenAI Inc. keinen Rechtsanspruch, sondern eine rechtliche Verpflichtung begründet.
Daher entspricht die Nutzung von „ChatGPT Team“ gegenwärtig nicht den geltenden Datenschutzanforderungen. Nur Kundendaten von „ChatGPT Enterprise“, „ChatGPT Edu“ und der API-Plattform mit einer Vereinbarung zu Zero Data Retention (ZDR) sind von diesen Sicherstellungsmaßnahmen nicht betroffen.
Vor diesem Hintergrund wird Unternehmen empfohlen, bei der Verarbeitung von personenbezogenen Daten auf die Nutzung von „ChatGPT Team“ zu verzichten und stattdessen alternative Lösungen in Betracht zu ziehen.
Aktuelle Datenresidenz in Europa
Seit Februar 2025 bietet OpenAI seinen Kunden von „ChatGPT Enterprise“, „ChatGPT Edu“ und der API-Plattform eine Datenresidenz in Europa für ruhende Daten an. Dabei werden Kundeninhalte auf Servern mit Standort in Europa verschlüsselt gespeichert. Konkret umfasst sind:
- Konversationen (Text, Bild, Sprache)
- Code-Interpreter und Artefakte der Datenanalyse
- Dateien (z. B. hochgeladene Bilder, Dokumente)
- Eingaben/Ausgaben zur Bilderzeugung
- ChatGPT-Speicher (gespeicherter Konversationskontext)
- Benutzerdefinierte GPTs (und zugehörige Eingabeaufforderungen/Ausgaben)
- Canvas (Inhalte des kollaborativen Arbeitsbereichs)
Allerdings gilt dies nur für neue Projekte, bei deren Setup die Region Europa auch ausgewählt wurde. Zudem werden jedenfalls folgende Daten nicht in Europa gespeichert:
- Anschlüsse und MCP
- Dienste von Drittanbietern (z. B. Websuche, falls aktiviert)
- Metadaten des Arbeitsbereichs (z. B. Name des Arbeitsbereichs, Rechnungsdaten, Benutzeranmeldungen)
- Für die Funktionsfähigkeit des Dienstes erforderliche vorübergehende oder Verarbeitungsschritte
Es ist wenig überraschend, dass unter Datenresidenz in Europa lediglich die Speicherung ruhender Daten in Europa verstanden wird, während die Verarbeitungsvorgänge aufgrund fehlender KI-Rechenzentren weiterhin in den USA erfolgen müssen.
Solange die Europäische Union keine umfassende Datensouveränität gewährleisten kann, besteht weiterhin das Risiko, dass gerichtliche oder behördliche Entscheidungen in Drittstaaten nachteilige Auswirkungen auf europäische Unternehmen haben. Daher sind eine sorgfältige strategische Planung und fundierte Risikoanalysen unerlässlich, wenn KI-Systeme, insbesondere aus Drittstaaten, im operativen Geschäft eingesetzt werden.
Sollten Sie beabsichtigen, ein KI-System in Ihrem Unternehmen zu implementieren, unterstützen wir Sie gerne bei diesem Vorhaben. Unsere Berater prüfen potenziell geeignete KI-Systeme für Ihren Betrieb und begleiten die Umsetzung unter Berücksichtigung des Datenschutzes.
Quellen:
https://openai.com/de-DE/index/introducing-stargate-norway
https://openai.com/de-DE/chatgpt/team
https://openai.com/de-DE/policies/data-processing-addendum
https://openai.com/policies/sub-processor-list
https://openai.com/de-DE/policies/data-processing-addendum
Urteil vom 16. Juli 2020, Schrems II, C-311/18, EU:C:2020:559, Rn. 134-137.
https://www.courtlistener.com/docket/68117049/712/the-new-york-times-company-v-microsoft-corporation
https://openai.com/index/response-to-nyt-data-demands
https://openai.com/de-DE/index/introducing-data-residency-in-europe
https://help.openai.com/en/articles/9903489-data-residency-for-chatgpt